Digital Persona in Vision Pro headset

‘Wachtwoorden van Vision Pro-gebruikers waren te achterhalen’

Kwaadwillenden kunnen wachtwoorden, toegangscodes en andere gevoelige data van Vision Pro-gebruikers achterhalen via 3D-avatars. Dat hebben onderzoekers bewezen: in 77% procent van de gevallen konden ze de juiste tekens van een wachtwoord achterhalen.

Bij het typen van teksten hadden de onderzoekers nog meer succes, want dan is 92% te raden. Als je een Spatial Persona (een 3D-avatar) van jezelf gebruikt op de Apple Vision Pro, dan kun je typen met je ogen door naar de juiste letters te kijken. De 3D-avatar beweegt dan met je mee. Als je op dat moment met anderen in een videogesprek zit, kunnen ze (met wat moeite) raden welke letters je kiest. De onderzoekers hoefden geen toegang te krijgen tot de Vision Pro, maar hadden genoeg aan het beeldmateriaal van de 3D-avatar. Een woordvoerder van Apple heeft bevestigd dat de kwetsbaarheid bestond en dat het is verholpen in visionOS 1.3.

Apple heeft foutcode CVE-2024-40865 toegewezen aan het lek en raadt gebruikers aan om altijd de nieuwste software-update te installeren. De ontdekking wordt vandaag onthuld door een groep van zes comptuerwetenschappers. Voor de duidelijkheid: de onderzoekers kregen geen toegang tot de Vision Pro van Apple om te zien wat ze aan het bekijken waren. In plaats daarvan ontdekten ze wat mensen typten door op afstand de oogbewegingen te analyseren van een virtuele avatar die door de Vision Pro wordt gemaakt. Deze avatar is te gebruiken in gesprekken van Zoom, Teams, Slack, Reddit, Tinder, Twitter, Skype en FaceTime.

Om de beelden automatisch te kunnen omzetten naar tekst maakten de onderzoekers een neuraal netwerk, dat ze trainden met beelden van verschillende avatars. Ze ontwikkelden ook een exploit met de naam GAZEploit, die ze in onderstaande video laten zien.

Vision Pro werkt met Optic ID

Het klinkt allemaal vrij ernstig, maar in de praktijk valt het allemaal wel mee. Tijdens een videocall zul je zelden wachtwoorden en andere vertrouwelijke gegevens ‘intikken’ met je ogen. Apple Vision Pro gebruikt Optic ID om je te identificeren, zodat je geen toegangscodes en wachtwoorden hoeft in te voeren. Wel maakt het duidelijk hoe biometrische kenmerken gevoelige informatie kunnen blootleggen.

Bekijk ook
Optic ID: een nieuwe manier om jou te herkennen

Optic ID: een nieuwe manier om jou te herkennen

Na Touch ID en Face ID heeft Apple een nieuwe manier voor authenticatie op basis van lichamelijke kenmerken. Optic ID werkt met een irisscanner.

Vaste patronen verklappen je gedrag

De onderzoekers van de universiteit van Florida, Texas Tech University en beveiligingsbedrijf CertiK gebruikten twee biometrische kenmerken van de Persona: de oogaspectratio (EAR) en de schatting van de oogopslag. “Als we aan het typen zijn, vertoont onze blik een aantal vaste patronen,” zegt een van de onderzoekers. “Tijdens taken als gaze typing neemt de frequentie van je oogknipperen af omdat je meer gefocust bent”.

Het tweede deel van het onderzoek keek naar de plaatsing en grootte van het toetsenbord. Dit bepaalt namelijk hoe ver je ogen naar linksboven kijken om bijvoorbeeld een Q te typen. Zodra de afmetingen van het toetsenbord bekend zijn, is te achterhalen welke toetsaanslagen er worden gedaan. Dubbele letters en typefouten zorgen voor extra uitdagingen. De aanval is in het laboratorium getest en is niet gebruikt om iemand daadwerkelijk af te luisteren. Maar een kwaadwillende hacker zou er wel misbruik van kunnen maken. De aanvaller zou dan een videogesprek met het slachtoffer kunnen opnemen om achteraf te achterhalen wat er is ingetikt.

Bekijk ook
Vision Pro: alles over Apple’s mixed reality-headset

Vision Pro: alles over Apple’s mixed reality-headset

De Vision Pro is de eerste mixed reality-bril van Apple, waar jarenlang aan is gewerkt. Apple Vision Pro geeft de aftrap voor een nieuw tijdperk van ‘spatial computing’. Alles wat je moet weten over deze headset, lees je hier!

Vision Pro

Vision Pro is de eerste headset van Apple voor spatial computing. Deze headset combineert augmented reality met virtual reality en heeft allerlei standaard ingebouwde apps die je kent van de iPhone, iPad en Mac, maar dan in een virtuele omgeving, geprojecteerd in je echte omgeving. Hij is sinds 2 februari 2024 in de VS verkrijgbaar voor een prijs vanaf $3.499,-. Andere landen volgen later.

Vision Pro

Reacties: 0 reacties

Reacties zijn gesloten voor dit artikel.